我们说我有两个Microsoft帐户:
我登录Azure帐户中心并为每个帐户创建两个订阅:
每个帐户都有帐户管理员和服务管理员,帐户管理员可以更改服务管理员。例如,我可以控制对一个服务管理员的所有订阅,并且在管理门户中,它会看起来像该帐户拥有所有订阅:
但帐户管理员没有改变,所以实际上,每个帐户仍然拥有其原来的两个订阅。帐户管理员始终可以通过将其服务管理员更改回自己来取回对订阅的控制权。
然后,我登录Azure管理门户并创建一些存储帐户,Web应用程序,SQL数据库和其他Azure资源。每个资源属于一个订阅,每个订阅由一个帐户拥有:
所以我可以说,最终,每个Azure资源都归其订阅的帐户管理员所有。
Azure还为每个帐户创建了一个活动目录,该目录由两个订阅共享。当我查看管理门户时,活动目录LOOKS就像它只是另一个Azure资源,除了它属于两个订阅:
我甚至可以在管理门户中创建更多活动目录,这是我创建存储帐户,Web应用程序和SQL数据库的位置,所以它看起来像一个活动目录只是另一个可以属于多个订阅的Azure资源:
然而,我更多地玩它,我意识到我已经倒退了。活动目录不属于订阅;订阅属于活动目录。我可以更改哪些订阅分配给哪些目录。然后,在管理门户中,我选择一个目录,它向我显示该目录的订阅及其资源:
所以现在看起来帐户管理员拥有活动目录,活动目录拥有订阅。但是,我更多地玩它,我也不认为这是对的。我可以将第一个帐户设为所有四个订阅的服务管理员。第二个帐户可以将第一个帐户添加为每个目录中的用户,并使其成为全局管理员。然后第一个帐户可以从每个目录中删除第二个帐户。所以现在,第一个帐户可以管理所有四个目录的订阅,并且是所有四个目录中唯一的用户和全局管理员,第二个帐户甚至不能再登录管理门户,所以它看起来像第一个帐户拥有一切:
第二个帐户仍然真正拥有两个订阅,因为他是帐户管理员,但没有任何东西说他拥有两个目录。第二个帐户管理员可以收回对他的两个订阅的控制权,但我不知道他如何能够取回对他的两个目录的控制权。此外,只要他不是任何活动目录的成员,他甚至不能再创建订阅; Azure不会像创建第一个目录那样创建另一个目录。那么,此时,谁拥有活动目录MicrosoftAccount2outlook.onmicrosoft.com和MicrosoftAccount2outlook2.onmicrosoft.com?
我甚至可以让一个目录拥有属于不同帐户管理员的订阅:
为了让事情变得更有趣,我可以在不是Microsoft帐户的目录中创建用户;它只是一个目录帐户。然后我可以作为目录帐户登录管理门户并创建另一个目录。新目录中唯一的用户和全局管理员是创建它的目录帐户;它没有Microsoft帐户所有者。谁拥有该目录?
甚至可以认为活动目录拥有原始Microsoft帐户,因为Microsoft帐户是活动目录中的用户。因此,如果活动目录拥有Microsoft帐户,并且Microsoft帐户拥有订阅,那么谁拥有活动目录? (编辑:第二个想法,对于拥有Microsoft帐户的目录没有意义,因为一个Microsoft帐户可以是多个目录中的用户,这意味着该帐户有多个所有者。抓点。 HUMAN拥有Microsoft帐户.Microsoft帐户拥有订阅,或者活动目录拥有订阅。谁拥有活动目录?)
答案 0 :(得分:2)
我认为Azure AD租户的“所有者”概念(目录的同义词,但文献中更常见的绰号)是有道理的。 当您登录Azure门户时,您将看到您当前登录的用户所属的所有租户。无论用户是MSA(微软帐户)还是组织帐户(@ .onmicrosoft.com或@),都是如此。无论租户如何成型,情况也是如此。有人可能已创建新的Office 365订阅,该订阅随其onw Azure AD租户一起提供,然后作为新用户添加到该租户,该用户是用于Azure订阅的MSA。下次您将登录Azure门户时,您的目录中也会看到新租户 - 只是因为您是该租户中的用户并且您有权使用它(例如创建)新的应用程序)。 结论:Azure AD租户独立于Azure订阅而存在。注册Azure时会自动配置Azure AD租户,并且您的订阅管理员(或任何门户用户)将自动添加到操作门户时创建的任何新Azure AD租户,但我希望O365示例显示如何只是Azure AD租户的创建方式之一。唯一不适合上述内容的事实是,您的订阅中有一个默认目录,它具有特殊属性 - 但我仍然认为我不会谈论所有权。 HTH